Biometrie biedt een betrouwbare basis voor identificatie van personen. Voorbeelden uit de praktijk zijn gezichtsherkenning voor efficiënte én privacyproof toegangscontrole en ID-verificatie bij het ondertekenen van documenten met een digitale handtekening. De inzet van biometrie in persoonsherkenning dient verantwoord, veilig, betrouwbaar en gemakkelijk te zijn. Dat vereist een stevig juridisch kader en het besef dat de techniek niet feilloos is. Zo zijn systemen voor automatische gezichtsherkenning te misleiden met morphing-aanvallen. Deze onderwerpen kwamen eind september aan bod tijdens de najaarsbijeenkomst van de Vereniging voor Biometrie en Identiteit (VvBI) in De Grolsch Veste, het stadion van FC Twente in Enschede.

Gezichtsherkenning wordt gebruikt bij onder andere automatische paspoortcontrole op luchthavens, het ontgrendelen van smartphones en computers en identiteitsverificatie bij bankzaken. De technologie biedt een hoge mate van betrouwbaarheid, in die zin dat gedetecteerde gezichten nauwkeurig worden vergeleken met eerder opgeslagen foto’s om te komen tot een ‘match’. Maar wat als gezichtsherkenning wordt misleid door beeldmanipulatie? Een manier van beeldmanipulatie is morphing, waarbij uit twee verschillende gezichten een nieuw gezicht wordt geconstrueerd, dat op beide gezichten lijkt. Als dit gezicht wordt gebruikt bij de aanvraag van een paspoort en wordt gebruikt als uitgangspunt voor gezichtsherkenning, kunnen mens en machine worden misleid. Hoe dit werkt, werd uitgelegd door Luuk Spreeuwers, Associate Professor aan de Universiteit Twente bij de faculteit Electrical Engineering, Mathematics and Computer Science (EEMCS) in de vakgroep Data Management & Biometrics (DMB).

Gemiddelde vorm

Bij morphing worden twee of meer pasfoto’s gebruikt van personen die sterk op elkaar lijken. Softwarematig worden overeenkomstige punten bepaald in beide gezichten. De gezichten worden gedefinieerd en de gemiddelde vorm kan worden bepaald. De software zoekt naar corresponderende punten in beide gezichten en past de kleur aan naar de gemiddelde waarde. De volgende stap is het creëren van één nieuwe foto. Daartoe wordt het gezicht in de samengestelde foto uitgesneden en geplaatst in beide originele foto’s. Spreeuwers: “Daarbij is er altijd wel sprake van overloop in grensgebieden die niet goed matchen, het zogenaamde ‘ghosting’. Maar deze overgangen zijn softwarematig steeds geleidelijker te maken, tot ze vrijwel niet meer zijn te detecteren. Het resultaat is dat je twee foto’s hebt van twee verschillende personen, maar met exact hetzelfde gezicht. Algoritmes voor gezichtsherkenning zullen deze personen herkennen als één en dezelfde persoon. Mensen zien twee personen, met andere verschillende kleding en een ander kapsel. Systemen voor gezichtsherkenning letten echter niet op die zaken, maar gebruiken bijvoorbeeld de afstand tussen ogen, neus en mond.”

Paspoort

Morphing wordt in de praktijk toegepast door criminelen, om ongestoord internationaal te kunnen blijven reizen. Luuk Spreeuwers: “Hoe vaak dit gebeurt is niet te achterhalen. De meeste succesvolle morphing-aanvallen worden bij toeval ontdekt. Maar onderzoek toont aan dat gezichtsherkenningssystemen om de tuin zijn te leiden met deze methode. Criminelen zoeken naar een medeplichtige die sterk op hen lijkt. De medeplichtige vraagt een nieuw paspoort aan, waarmee de crimineel kan reizen. Dit paspoort is honderd procent echt en door het toepassen van morphing worden zowel menselijke als automatische controle omzeild.” Het slechte nieuws is dat software voor morphing eenvoudig te verkrijgen is. Daar staat het goede nieuws tegenover dat de beeldmanipulatie altijd wel te detecteren is. Spreeuwers: “Een nadeel is echter dat de bij de aanvraag van een nieuw paspoort aangeleverde foto’s gedigitaliseerd worden met een documentscanner. Door de compressie wordt de beeldkwaliteit sterk gereduceerd. Dit maakt het lastiger om foto’s te vergelijken met andere beelden. De restanten van morphing in de aangeleverde pasfoto worden verborgen door de lagere resolutie. Om morphing-aanvallen te voorkomen zou de procedure kunnen worden aangepast. Als het verplicht zou zijn een pasfoto te laten maken op het gemeentehuis, kunnen foto’s niet meer worden gemanipuleerd.”

Privacyproof

Een privacyproof systeem voor efficiënt, veilig, contactloos en gastvrij toegangsbeheer, dat voldoet aan alle juridische en ethische normen voor gegevensbescherming. Dat was het uitgangspunt van de Nederlandse scale-up 20face. Deze heeft een online platform ontwikkeld dat een eigen Deep Learning-algoritme combineert met een slimme softwareapplicatie. Privacy by design is een standaard waarde. “Het uitgangspunt zijn de gebruikers en hun privacy. Pas als gebruikers de technologie accepteren, kan toepassing van gezichtsherkenning op grote schaal mens en maatschappij faciliteren in veiligheid en comfort”, vertelde Dick Fens, CEO van 20face. “Het toepassen van gezichtsherkenning voor toegangscontrole moet voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dat betekent onder meer dat alle betrokkenen expliciet om toestemming moet worden gevraagd voor het opslaan en verwerken van hun gegevens. De software wordt ook niet gebruikt voor andere doeleinden, zoals blacklisting of opsporing. De gebruiker is steeds volledig in controle over zijn eigen data.”

Gebruikers maken een selfie, die wordt omgezet in een gezichtsvector. De selfie wordt verwijderd en de gezichtsvector wordt versleuteld opgeslagen in een persoonlijke virtuele kluis. De gezichtsvector is achteraf niet te herleiden tot de betreffende persoon. Via het online platform houdt de gebruiker steeds zeggenschap over de persoonsgegevens. Zo is het mogelijk om toestemming te geven en in te trekken voor het gebruik van de data en om de opgeslagen gegevens te verwijderen. Registratie geschiedt via de portal van 20face en kan binnenkort ook via een app. Vanuit de beveiligde cloudomgeving kunnen de gegevens beschikbaar worden gesteld voor onder meer toegangscontrolesystemen van bedrijven met meerdere vestigingen.

Stadions

Het 20faceXS systeem wordt sinds 2019 gebruikt in het stadion van Heracles in Almelo, dat daarmee het eerste ticketloze stadion van Nederland was. Inmiddels maakt ook de businessclub van FC Twente in De Grolsch Veste er gebruik van. Bezoekers van de VvBI bijeenkomst konden zich vooraf laten registeren, om vervolgens rechtstreeks toegang te krijgen bij de tourniquets in het stadion. Doordat ook een Software Development Kit (SDK) beschikbaar is, kan de gezichtsherkenning eenvoudig worden geïntegreerd in toegangscontrolesystemen van andere fabrikanten. 20face wil het systeem in de toekomst uitbreiden met onder meer betaalopties voor evenementen en e-commerce. Een andere toepassing zijn zorginstellingen met dementerende bewoners, waar gezichtsherkenning is te gebruiken als alternatief voor de tags die nu veel worden gebruikt voor dwaaldetectie.

Biometrische handtekening

Bij biometrie wordt dikwijls als eerste gedacht aan een vingerafdruk of gezichtsherkenning, maar ook een handtekening is uniek voor iedere persoon. “Een biometrische handtekening combineert het tekenen van overeenkomsten met het vastleggen van biometrische (gedrags)kenmerken voor ID-verificatie. Dit is zeer effectief en roept nooit weerstand op”, legde Peter de Gier, adviseur bij Lucom, uit. De handtekening is dezelfde als met pen op papier, maar wordt gezet met een digitale pen of de vinger. Hierbij worden kenmerken vastgelegd zoals de uitgeoefende druk en penhouding ten opzichte van het oppervlak, de schrijfhoek, snelheid van schrijven en tijdsintervallen tijdens het schrijven. De Gier: “Geen mens zet tweemaal exact dezelfde handtekening. De software vergelijkt de vastgelegde factoren. Op basis daarvan is vast te stellen dat dezelfde persoon meermaals zijn handtekening heeft gezet.”

De technologie wordt gebruikt door onder meer Regiobank voor het ondertekenen van transacties en telefoonproviders bij het afsluiten van contracten. Een ander praktijkvoorbeeld is het tekenen voor ontvangst van pakketten. De Gier: “Mensen hebben hun handtekening altijd bij zich en deze kan worden gebruikt om personen te identificeren en verifiëren. Bij een handtekening met pen en papier is alleen de uitgeoefende druk op het papier te meten. Zodra documenten worden ingescand is ook dat niet meer mogelijk. Een digitale biometrische handtekening heeft veel meer variabelen ter controle en biedt meer gebruiksgemak. Tekenen kan bijvoorbeeld via verschillende apparaten, zoals een smartphone. De software slaat alleen een plaatje op met een code, dus niet de handtekening zelf. In het document wordt iedere toegevoegde handtekening gesealed en gekoppeld aan een certificaat. Doordat ook de volgorde waarin meerdere handtekeningen zijn geplaatst wordt vastgelegd, kan niet achteraf een bijlage worden toegevoegd waarvoor de eerste persoon niet getekend heeft. Tevens is een extra controle mogelijk met een pincode.”

Gebruiksgemak

Optische beeldsensoren worden steeds vaker geïntegreerd in de beeldschermen van de nieuwste generaties smartphones voor biometrische herkenning. Dit biedt niet alleen veiligheid, maar ook gebruiksgemak. “De beeldschermen van smartphones worden steeds groter en dunner. Er is niet altijd ruimte meer voor een aparte vingerafdrukscanner”, aldus Hylke Akkerman, programmamanager Thin Film Imagers bij Holst Centre-TNO. “Flexibele beeldsensoren die zijn gebaseerd op organische fotodiodes kunnen worden verwerkt in de ultradunne beeldschermen die tegenwoordig worden gebruikt door fabrikanten van smartphones. Zodra de gebruiker het beeldscherm aanraakt op een willekeurige plek, wordt diens vingerafdruk uitgelezen voor biometrische identificatie en wordt het toestel ontgrendeld of kunnen specifieke functies worden uitgevoerd.”

Juridisch kader

Bij het toepassen van technologie die biometrische gegevens verwerkt, gelden strenge regels om de privacy van gebruikers te waarborgen. Romy ter Beek, legal consultant bij Considerati en specialist op het gebied van privacy en gegevensbescherming, ging in op het juridisch kader, relevante uitspraken van rechters en toezichthouders, het maken van een Data Protection Impact Assessment (DPIA), veelvoorkomende (privacy)risico’s en mitigerende maatregelen bij de verwerking van biometrische gegevens. Ter Beek: “Het is verboden om bijzondere persoonsgegevens vast te leggen of te verwerken, zoals ras of afkomst, politieke of religieuze opvattingen, medische gegevens, seksuele voorkeur en het lidmaatschap van een vakbond. Dit geldt ook voor biometrische gegevens, als deze worden verzameld met het oog op unieke identificatie van personen.”

In een DPIA wordt beschreven in hoeverre een systeem dat biometrische gegevens verwerkt inbreuk maakt op de privacy en waarom dat nodig is. Ook dient te worden onderbouwd welke maatregelen zijn genomen om de inbreuk zo beperkt mogelijk te houden. Ter Beek: “Bedrijven en organisaties moeten de grondslag aantonen voor de verwerking van persoonsgegevens. Ook als iemand zelf gegevens openbaar maakt, betekent dat nog niet dat deze mogen worden opgeslagen en verwerkt. Het is wel toegestaan als iemand toestemming heeft gegeven. Die persoon moet dan wel voldoende zijn geïnformeerd over het doel en specifiek en ondubbelzinnig hebben ingestemd. Daarbij moet tevens rekening worden gehouden met de ongelijke machtsverhouding die bestaat tussen bijvoorbeeld een werkgever en een werknemer. Er moet een noodzaak zijn voor verwerking om redenen van zwaarwegend algemeen belang. Toegang tot recreatiegebied, sportschool of garage valt hier niet onder.”

Schoenenzaak

Een schoenenzaak die medewerkers verplichtte een vingerafdruk te laten vastleggen voor toegang tot het kassasysteem, werd daarvoor veroordeeld in 2019. De winkelketen wilde met de maatregel fraude voorkomen en gevoelige gegevens in het kassasysteem beschermen, terwijl met de vingerafdruk tevens tijdregistratie van medewerkers plaatsvond. Ter Beek: “De rechter oordeelde dat er geen sprake was van een zwaarwegend maatschappelijk belang. Bovendien waren andere mogelijke beveiligingsmaatregelen zonder ingrijpende biometrische verwerking niet onderzocht. Ook toezichthouders zoals de Autoriteit Persoonsgegevens starten regelmatig onderzoeken naar biometrische toepassingen. Zo kreeg een supermarkt een waarschuwing over de toepassing van gezichtsherkenning. De eigenaar stelde dat deze bijdroeg aan het opsporen van winkeldieven, maar volgens de AP was er geen sprake van een zwaarwegend algemeen belang.”

EU-regelgevingskader

Geautomatiseerde biometrische technologieën worden steeds vaker in Europa gebruikt door politie, justitie en inlichtingendiensten voor preventieve doeleinden en om erachter te komen wie iemand is. Ernestina Sacchetto is jurist en voert een promotieonderzoek uit aan de Universiteit van Turijn naar het gebruik van biometrische technieken voor forensische opsporing, intelligence en (voorbereiding van) bewijsvoering. Zij werkt momenteel als visiting scientist bij het Nederlands Forensisch Instituut (NFI). De onderzoekster ging in op het begrip biometrische gegevens, het recente EU-regelgevingskader, de impact van geautomatiseerde biometrische persoonsherkenning op individuen en de samenleving, de (juridische) vereisten en de onderlinge onverenigbaarheden die er volgens haar bestaan in dit geheel. Ook keek zij kritisch naar een voorstel voor een verordening voor een Europese aanpak van kunstmatige intelligentie, die ook biometrische toepassingen treft.

BEVEILIGING editie oktober 2021